Sergey Nivens - Fotolia

Angriffe mit dateiloser Malware nehmen zu

Malware-Autoren setzen verstärkt auf dateilose Schadsoftware, die sich etwa in der Registry versteckt. Dies sollten Unternehmen berücksichtigen.

Um nach einer Infektion erfolgreich zu sein, müssen Angreifer so heimlich wie möglich vorgehen. Ein Ansatz ist, so wenig Änderungen wie möglich an einem infizierten System vorzunehmen. Je länger eine Attacke unentdeckt bleibt, desto größer sind die Chancen, dass der Angreifer sein jeweiliges Ziel erreichen kann. Angreifer löschen daher meist ihre Werkzeuge während einer Attacke. Malware-Autoren gehen einen ähnlichen Weg und lassen ihre Schadsoftware die Spuren löschen, diese Angriffsart ist auch als dateilose Malware bekannt.

Dieser Beitrag zeigt, wie die dateilose Malware funktioniert, wie sie immer ausfeilter wird und was Unternehmen tun können, um sich gegen diese Angriffsart zu schützen.

Wie dateilose Malware funktioniert

Im McAfee Labs Threat Report vom November 2015 gibt Intel Security einen Überblick über diese Schadsoftware. Dieser beschreibt, wie die Malware Dateien löscht, die sie auf dem System anlegt, verschlüsselte Daten in der Registry abspeichert, Code in laufende Prozesse injiziert und PowerShell, Windows Management Instrumentation sowie andere Techniken nutzt, um die Attacken zu verschleiern. Die Daten werden in der Registry so abgelegt, dass sie auch bei einem Neustart automatisch geladen werden, für den normalen Nutzer allerdings unsichtbar sind. Da es durchaus legitime Gründe gibt, verschlüsselte Daten in der Registry abzulegen, lassen sich solche Einträge nicht automatisch als bösartig einstufen. Eine Anwendung könnte etwa ein verschlüsseltes Kennwort ablegen wollen oder anderweitig Zugangsdaten zwischenspeichern.

Die Injektion von Code in einen laufenden Prozess ist ein anderes Werkzeug der Malware-Schreiber. Diese Taktik ist sehr effektiv, allerdings setzt sie glücklicherweise einiges an Vorbereitung voraus. Damit ein Prozess im Speicher einen anderen Prozess überschreiben kann, muss der Nutzer die entsprechenden Codezeilen ausführen – das klappt etwa, indem die Malware-Schreiber einen Link zu einem Malware-Download schicken oder den Nutzer über einen anderen Weg austricksen. Ist dieser Angriff erfolgreich, kann das weitreichende Auswirkungen haben. Hat der Nutzer Administratorrechte, kann darüber ein komplettes Netzwerk infiziert werden. Doch auch bei beschränkten Rechten hat der Angreifer so die immerhin Rechte, die der Nutzer auch hat und kann so weiter agieren.

Ein Beispiel für eine solche Malware ist die Kovter-Familie. Die erste Infektion findet über E-Mails oder präparierte Webseiten statt. Ist diese erste Version der Malware erst einmal auf dem Computer, schreibt sie JavaScript in die Registry. Dieser Code wiederum führt ein verschlüsseltes PowerShell-Skript aus, das ebenfalls in der verschlüsselt in der Registry abgelegt ist. Da die Malware keine weiteren Dateien auf dem System abspeichert und sich die PowerShell-Skripte leicht verstecken lassen, ist die Kovter-Malware schwer zu identifizieren.

Unternehmen vor dateiloser Malware schützen

Der wichtigste Schutz gegen dateilose Malware sind Systeme, die auf dem aktuellsten Stand sind. Zudem sollten Nutzer so wenig Rechte wie möglich haben. Virenschutzprogramme auf den jeweiligen Endpunkten kann ebenfalls helfen, die Systeme zu schützen. Diese Schutzmaßnahmen sollten zusätzlich durch einen Defense-in-Depth-Ansatz verstärkt werden der Netzwerkeverbindungen und E-Mails auf Malware überprüft. Das reduziert die Gefahr, dass Schadprogramme auf den Endpunkt gelangen und dort ausgeführt werden können.

Auf den lokalen Systemen können zudem spezielle Überwachungsprogramme das Verhalten von ausführbaren Dateien verfolgen und bei Unregelmäßigkeiten Alarm schlagen. Dazu gehört beispielsweise, wenn das Betriebssystem plötzlich externe Server kontaktiert oder unerwartete Befehle in die Registry geschrieben werden. Das ausführen bösartiger PowerShell Skripte lässt sich ebenfalls erschweren, Microsoft MVP Don Jones zeigt einige mögliche Sicherheitsmaßnahmen in diesem Technet-Artikel. Wichtig ist vor allem, dass Systeme nur digital zertifizierte Skripte ausführen dürfen.

Auch wenn Malwareautoren immer versierter werden, Unternehmen können sich gegen diese Angriffe schützen. Wichtig ist vor allem, dass Schadsoftware möglichst früh erkannt und bösartige Programme gestoppt werden, bevor sie sich in den Systemen einnisten können.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Mai 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über NAC- und Endpunktsicherheits-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close